9.2. 在 IdM 服务器中调整 ipa-extdom 插件的配置超时
IdM 客户端无法直接从 Active Directory(AD)接收用户和组的信息,因此 IdM 服务器使用 ipa-extdom
插件接收 AD 用户和组的信息,并将这些信息转发到请求的客户端。
ipa-extdom
插件向 SSSD 发送有关 AD 用户的数据的请求。如果信息不在 SSSD 缓存中,SSSD 会从 AD 域控制器(DC)请求数据。您可以调整 config 超时值,它定义 ipa-extdom
插件在插件取消连接前等待 SSSD 的回复,并将超时错误返回给调用者。默认值为 10000 毫秒(10 秒)。
以下示例将配置超时调整为 20 秒(20000 毫秒)。
警告
调整配置超时时要非常谨慎:
- 如果您设置了太小的值(如 500 毫秒),SSSD 可能没有足够的时间来回复,请求始终会返回超时。
- 如果您设置了太大的值,如 30000 毫秒(30 秒),则单个请求可能会阻止到 SSSD 的连接。因为一个线程一次只能连接到 SSSD,所以来自插件的所有其他请求都必须等待。
- 如果 IdM 客户端发送了多个请求,它们可以阻止为 IdM 服务器上的 Directory 服务器配置的所有可用 worker。因此,服务器可能无法在一段时间内回复任何类型的请求。
只在以下情况下更改配置超时:
- 在请求 AD 用户和组的信息时,如果 IdM 客户端会在达到自己的搜索超时前频繁收到超时错误,这代表配置超时值太小。
-
如果 IdM 服务器上的 Directory Server 经常会锁定,
pstack
程序报告有很多或所有 worker 线程在处理ipa-extdom
请求,这代表这个值 太大。
先决条件
- LDAP Directory Manager 密码
流程
使用以下命令将配置超时调整为 20000 毫秒:
# ldapmodify -D "cn=directory manager" -W dn: cn=ipa_extdom_extop,cn=plugins,cn=config changetype: modify replace: ipaExtdomMaxNssTimeout ipaExtdomMaxNssTimeout: 20000